Was ist Network Access Control?

Durch die Network Access Control können Netzwerke vor unerlaubten Zugriffen und Schädigungen bewahrt werden. NAC funktioniert vor und nach einem Zugriff.

Die Network Access Control, auch bekannt als NAC oder Netzwerkzugriffskontrolle, dient dazu, private Netzwerke zu schützen und sie vor dem unerlaubten Zugriff durch externe Geräte zu bewahren, die bestimmte und klar definierte Sicherheitsrichtlinien nicht erfüllen. NAC-Lösungen erledigen dabei im Großen und Ganzen zwei wichtige Aufgaben:

Pre-Admission Network Access Control

Network Access Control hat die komplette Übersicht über alle Geräte, die an ein bestimmtes Netzwerk angeschlossen sind. Die Art der jeweiligen Geräte spielt dabei keine Rolle, sodass neben Rechnern oder Smartphones beispielsweise auch Drucker, Scanner oder Technologien des Internet of Things berücksichtigt werden können. Ziel dieser Herangehensweise ist es, fremden Systemen den Zugriff auf das interne Netzwerk über WLAN oder andere Zugangsmöglichkeiten zu untersagen und so die Sicherheitsarchitektur aufrechtzuerhalten. Diese Art von Network Access Control nennt man Pre-Admission NAC.

Post-Admission Network Access Control

Die Compliance-Funktion dient dazu, Geräte, die sich bereits innerhalb des Netzwerks befinden, zu überprüfen und so etwaige Problemquellen oder Sicherheitslecks so früh wie möglich zu identifizieren. Durch Network Access Control wird beispielsweise der Status einer Firewall oder eines Antivirenprogramms kontrolliert und dadurch gewährleistet, dass sich nur Geräte innerhalb des Netzwerks befinden, die auf dem neuesten Stand sind. Die Funktion ist Teil des Post-Admission NAC, also der Netzwerkzugriffskontrolle, die bestimmte Bereiche innerhalb eines Netzwerks überwacht.

Wie funktioniert die Netzwerkzugriffskontrolle?

Es gibt zahlreiche unterschiedliche NAC-Systeme, die sich teilweise in ihrer Funktionsweise unterscheiden. In der Regel funktioniert Network Access Control aber relativ ähnlich. Dazu legen das Sicherheitsteam eines Unternehmens oder die Person, die für ein Netzwerk verantwortlich ist, zunächst Regeln fest, die für alle teilnehmenden Geräte obligatorisch sind. Über Netzwerkzugriffskontrollen werden neue Geräte dann überprüft und kategorisiert. Basierend auf den vorher definierten Sicherheitsrichtlinien wird der Zugang zum Netzwerk erlaubt oder untersagt. Ein Gerät mit Zugriff erhält bestimmte Rechte und wird weiterhin überprüft. So bleibt der Schutz des Netzwerks gewahrt.

Warum ist Network Access Control wichtig?

Zwar ist NAC nicht für jedes Netzwerk geeignet, vor allem für Unternehmen oder größere Netzwerke lohnt sich aber der Einsatz. Die Technik ermöglicht den kompletten Überblick über alle Geräte, die sich in einem Netzwerk befinden, und verhindert, dass sich Unbefugte einfach Zugang verschaffen können. Die Network Access Control hilft dabei, alle relevanten Sicherheitsrichtlinien für das Netzwerk zu erstellen und zu wahren. Außerdem lassen sich Rechte und Rollen verteilen. Geräte, die sich bereits im Netzwerk befinden, aktuell aber nicht konform zu den Richtlinien arbeiten, können in Quarantäne versetzt und nach Behebung der Mängel reaktiviert werden.

Was sind die Funktionen von Network Access Control?

Es gibt zahlreiche unterschiedliche Methoden und Funktionen, die von Network Access Control verwendet werden, um ein Netzwerk bereits vor dem Zugriff oder nach dem Zugriff bestmöglich zu schützen. Zu den gängigsten gehören dabei folgende Technologien:

Sicherheitsrichtlinien für NAC

Jedes Netzwerk benötigt fein abgestimmte und ausjustierte Sicherheitsrichtlinien, die verbindlich für sämtliche Geräte und Anwendungsfälle sind, dabei aber auch unterschiedliche Voraussetzungen und Berechtigungen berücksichtigen. NAC-Lösungen erlauben Ihnen daher, diese Regeln im Vorfeld festzusetzen und bei Bedarf nach Aufbau des Netzwerks anzupassen. Anhand der dabei festgelegten Parameter werden Geräte vor und während des Zugriffs kontrolliert.

Profiling im Bereich NAC

Beim Profiling scannt die Network Access Control sämtliche Geräte, überprüft ihre Eigenschaften und gleicht z. B. ihre IP-Adressen ab. So können alle Geräte, die sich im Netzwerk befinden, erfasst und unter sicherheitsrelevanten Aspekten durchleuchtet werden.

Sensoren für Network Access Control

Selbst grundsätzlich berechtigte und freigegebene Geräte können innerhalb eines Netzwerks Schaden anrichten oder absichtlich bzw. unabsichtlich gegen die internen Regeln verstoßen. Sensoren, die entweder als Software-Komponenten oder direkt an Access Points arbeiten, überprüfen den gesamten Datenverkehr innerhalb eines Netzwerks oder bestimmter Teilbereiche in Echtzeit und können diesen bei Verstößen unterbinden oder anhalten.

Agenten für die Netzwerkzugriffskontrolle

Bei Agenten handelt es sich im Bereich Network Access Control in den meisten Fällen um Software, die auf den Endgeräten installiert wird. Diese Agenten kommunizieren mit einer zentralen NAC-Anlaufstelle, die ihnen den Zugang zum Netzwerk gewährt. Der Vorteil bei dieser Methode ist, dass ausschließlich vorher ausgewählte und berechtigte Geräte Zugang erhalten. Nachteilig ist, dass dadurch jedes Gerät mit einem solchen Agenten ausgestattet werden muss. Das kann gerade bei sehr großen Netzwerken sehr umständlich und zeitaufwendig sein. Neben Microsoft bietet z. B. Cisco einen Trust Agent für die NAC-Variante Network Admission Control.

Eine Alternative sind temporäre Agenten, die nicht fest installiert werden müssen und bei einem Neustart automatisch gelöscht werden. Diese werden meistens über den Browser geladen und erfordern die ausdrückliche Zustimmung des Teilnehmers oder der Teilnehmerin. Diese Zwischenlösung bietet sich für den temporären, einmaligen oder sporadischen Zugriff auf ein Netzwerk an. Für die dauerhafte Nutzung sind andere Methoden der Network Access Control allerdings deutlich praktikabler.

VLAN-Lösungen für NAC

Viele NAC-Tools schaffen über Virtual Local Area Networks Teilbereiche, die lediglich bestimmten Geräten zugänglich sind. So lassen sich sensible Bereiche von öffentlichen oder weitestgehend öffentlich zugänglichen Segmenten trennen.

LADP-Verzeichnisse zur besseren Gruppierung

Mit LDAP-Verzeichnissen erstellt die Netzwerkzugriffskontrolle Gruppen, in die Nutzerinnen und Nutzer eingeteilt werden können. Jede dieser Gruppen erhält bestimmte Rechte und hat somit Zugriff auf Teile des Netzwerks oder sämtliche Bereiche. So ist es auch möglich, Zugriffe nicht vom Endgerät, sondern einzelnen Personen abhängig zu machen.

Was sind Anwendungsfälle für Network Access Control?

Es gibt zahlreiche Anwendungsmöglichkeiten für Network Access Control. Nicht jede Lösung ist dabei auch für jeden Zweck geeignet oder empfehlenswert. Besonders verbreitet sind die folgenden Anwendungsfälle:

Bring Your Own Device

Bring Your Own Device oder BYOD ist eine Praktik, die mittlerweile sicherlich in den meisten Netzwerken zu finden ist. Einfach ausgedrückt bedeutet BYOD, dass sich Personen mit einem eigenen Endgerät in einem Netzwerk einwählen können. Das kann das Smartphone im Büro sein oder der eigene Laptop im Netzwerk der Universität. Die zahlreichen unterschiedlichen Devices stellen dadurch aber auch große Herausforderungen an die Infrastruktur und Sicherheit. Hier ist Network Access Control eigentlich unabdingbar, um sensible Daten z. B. vor Schadsoftware zu schützen und gleichzeitig den Überblick zu behalten.

Gästezugriff auf Systeme

Auch Gäste bzw. unternehmensfremde Personen benötigen unter Umständen Zugriff auf ein bestehendes System. Dieser findet zwar vielleicht nur sporadisch oder sogar einmalig statt, die richtige Mischung aus einer guten Verbindung und aller nötigen Sicherheitsaspekte ist aber auch hierbei besonders wichtig. Auch deswegen braucht es eine durchdachte Network Access Control.

Internet of Things

Durch das Internet of Things erhalten immer mehr Geräte Zugriffe auf ein Netzwerk. Nicht immer werden diese Devices auf dem neuesten Stand gehalten und einzeln überprüft. Mit einer guten NAC-Strategie stellen Sie sicher, dass solche Geräte kein Einfallstor für Unbefugte darstellen.

Network Access Control im Gesundheitswesen

Gerade im Gesundheitswesen steht die Sicherheit an oberster Stelle. Schließlich müssen Geräte einwandfrei funktionieren und Daten bestmöglich geschützt werden, wofür es wichtig ist, dass das Netzwerk keinerlei Schwachstellen aufweist. Die passende Netzwerkzugriffskontrolle ist daher auch hier von großer Bedeutung.